Mozilla-Entwickler korrigieren Risikoeinschätzung von Lücke

Das Risiko einer kürzlich bekannt gewordenen Sicherheitslücke in Firefox, die das Ausspähen von Daten auf dem Rechner ermöglicht, schätzen die Mozilla-Entwickler inzwischen als hoch ein. Durch Browser-Add-ons, die nicht als .jar-Archiv verpackt sind, sondern als sogenanntes "Flat Package" vorliegen, können Angreifer mit manipulierten chrome://-Verknüpfungen in bestimmten HTML-Tags in Webseiten die Lücke ausnutzen.

Im Sicherheitsblog der Mozilla-Foundation hat die Sicherheitschefin Window Snyder ein Status-Update eingestellt. Darin verlinkt sie eine ausführliche, aber nicht vollständige Liste von Add-ons, die nicht als .jar-Paket installiert werden und daher die Sicherheitslücke aufreißen. Die Entwickler der Add-ons bittet Snyder zudem, die Add-ons in ein .jar-Archiv zu verpacken und die Aktualisierung zu veröffentlichen.

Gerry Eisenhaur hat den Blog-Eintrag auf hiredhacker.com zwischenzeitlich aktualisiert, in dem er die Lücke bekannt gemacht hat, um eine weitere Demonstration der Lücke zu ergänzen, die den Inhalt der sessionstore.js-Datei ausliest. Sie soll dadurch Informationen der aktuellen Browsersitzung wie Cookies oder geöffnete Tabs anzeigen. Eisenhaur weist in dem Blog-Eintrag auch darauf hin, dass die populäre Browser-Erweiterung NoScript vor Angriffen auf diese Lücke schützt.

Die Mozilla-Entwickler haben den Fehler in den Entwicklungszweigen bereits behoben und testen den Code in den Nightly Builds des Release-Candidate von Firefox 2.0.0.12. Medienberichten zufolge soll der Browser am 5. Februar in der finalen Version freigegeben werden.

Siehe dazu auch:

• Status update for Chrome Protocol Directory Traversal issue, Eintrag im Sicherheits-Blog der Mozilla-Foundation von Window Snyder
• Auflistung zahlreicher Add-ons, die als "Flat Package" vorliegen
• Firefox gibt Informationen preis, Meldung von heise Security

(dmk)